PCユーザの管理をGoogle Workspaceで実装した話。
はじめましてこんばんわこんにちわお久しぶりです。
前回の続きです。
リベロエンジニアでIT技術者やってるドラゴン藤波は、藤波製作所で中小規模事業者様にITコンサルもしています。
藤波製作所にはアシスタントさんとして時短で雇用されている方がいるのですが、
入社時に諸々そろえたとき、特にPCを用意した時の話をしたいと思います。目次藤波製作所ではGoogle Workspaceを使用しています。
藤波製作所ではグループウェアとしてGoogle Workspaceを使用しています。
前回から
といってもね。具体的な実装方法。
GCPW/GCPM入れてGoogle Chrome入れて再起動したら終わり(本当)だから割愛だよ
って書くと怒られそうだから、ChatGPTに聞いたGCPWを使ったセットアップをコピペしますね。
具体的なセキュリティ設定についてはadmin.google.comを参照し、組織に合わせたガバナンスとコンプライアンスからセキュリティ要件を見極めたうえで設計する必要があります。
この記事読んでる人で、admin.google.comのセキュリティ設定関連の機構を(権限的な意味で)見れる人のほうが少ない気がするので、割愛します。
さてさて、本題のPCのユーザ管理です。
Windows機を貸与しているのでActiveDirectoryを使うのが一般的ですよね。
ユーザ管理がGoogleに寄せたい
藤波製作所はGoogle Workspaceを利用しているため、
ユーザ管理のためにOffice365を契約して管理する余裕がありません。
ましてやActiveDirectoryサーバを持つ(たとえAWS上だったとしても)のは論外。
そこで気づいてしまったワケですよ。
Office365にできるなら、Google Workspaceでもできるんじゃね?
実を言うと知らなかったワケではないんです。
ActiveDirectoryとGoogle Workspaceの連携ができることは知っていたので、あとはWindowsそのものに認証させる方法があれば。
LDAPみたいなカンジなんだから認証方法させるツールキットみたいなのがあれば。と。。。
Google公式で認証ドライバ提供していた
公式にあったわ。
GCPWとGCPM
Google認証情報プロパイダをWindows、MACにインストールすることで、
なんとGoogle Workspaceのアカウントでログインすることができるようになります。
Windows的にはローカルユーザとして見えるらしい。
Windows上の制約
ユーザ管理しか期待していなかったので、端末制御や資産管理についてはスルーしていましたが
GoogleWorkspace(GCPW)+Windowsではデバイス制御はできないらしい。
Chromebookや、Workspace(GCPM)+macなら可能とのこと。mac。さすが。
なのでシンプルにデバイスにログインするユーザをWorkspaceユーザに制限し、
デバイス自体の資産管理や制御はSKYSEA Client Viewなんかを使うのが良いんじゃないかな。
使い分け使い分け。
(そもそもMacはサードパーティ製の端末制御・資産管理アプリ不要だったりしますが、それはまた違う機会に)
Google提供の認証ドライバとChromeとGoogleWorkspaceのユーザがあれば、
特に苦労することなく簡単にセットアップしてログインすることができて
ActiveDirectoryをわざわざ使わなくてヨカッタヨカッタという話でした。
ここからはケースごとに事例を紹介したいと思います。
ケースA:リベロ社内からの質問
とあるお客様でSAMBAファイルサーバ用にオンプレADサーバを構築してるので、すごく興味があります。
社内のファイルサーバへのアクセス権限付与のために作ったものをリプレースしてるのですが、
Google Workspaceを契約してるので、
GCPWログインで社内のファイルサーバへのアクセス権限制御とかってできるんですかね?
GCPWを使用してオンプレのファイルサーバ認証はできないっす。
ユーザ(グーグルアカウント)→SAMBA→AD→GCDS→Google Workspace
これならできるハズ。たぶん。違ったら本当にすいません。
とまぁなかなか変態構成大好きみたいな会話ですが、この場合オンプレAD構築していますね。
いっそGoogle WorkspaceをやめてOffice365に移行し、AzureAD+オンプレAD+Office365のハイブリッドAD構成のほうが
コストも管理もメンテも、今後のひろがりも期待できます。
ケースB:クラウドグループウェア二刀流
IT担当がいない企業様にわりと居ることに気づいてしまったのですが
Google WorkspaceとOffice365を両方契約して使っている企業様、
よっぽど意図があって運用しているワケでもないのなら
今すぐ片寄してコストを別のところに使いましょう。
どっちつかずになってどっちかしか使わないので、だいぶもったいないです。
(おまけ)セットアップ手順
https://support.google.com/a/answer/9543613?hl=ja
https://support.google.com/a/answer/9250996?hl=ja
こちらのLINKを参考に、ActiveDirectoryナシでGCPWを使用し、GoogleアカウントでWindowsにログインするための一連の手順を整理してください
Active Directoryを使用せずにGoogleアカウントを使ってWindowsにログインするための手順を以下に示します。このプロセスでは、Google Workspace管理者がWindows用Google認証情報プロバイダ(GCPW)を設定する必要があります。
事前準備
- GCPW設定の管理方法の決定: GCPWで許可されるドメインを設定し、ログインを許可するユーザーを決めます。これは、管理コンソールまたは各デバイスのレジストリ設定で行うことができます。
- 既存のWindowsプロファイルの処理: 既存のWindowsプロファイルをGoogleアカウントに関連付けるか、新しいプロファイルを作成するかを決定します。
- サポートチームにデバイスへのアクセス権を付与: 必要に応じて、サポートチームに適切なアクセス権を付与します。
- 自動登録の計画: GCPWの自動登録を計画します。これは、Windowsデバイス管理を使用している場合に必要です。
GCPWの設定とインストール
- GCPWのダウンロード: Google管理コンソールからGCPWをダウンロードします。
- 許可されるドメインとオプションの設定: GCPWで許可されるドメインを設定し、必要に応じてその他のオプションも設定します。
- デバイスのレジストリ設定でGCPWを設定: 管理コンソールで設定できない値を指定する場合、または管理コンソールの設定を行わない場合は、各デバイスのレジストリ設定を使用します。
- GCPWのインストール: ダウンロードしたインストーラをデバイスで実行します。これは手動で行うことも、PowerShellスクリプトやサードパーティ製のアプリ配布ツールを使用して行うこともできます。
GCPWデバイスの管理
以上の手順に従って、Active DirectoryなしでGCPWを使用し、GoogleアカウントでWindowsにログインする環境を設定できます。
あざーす
まとめ
ぶっちゃけマイクロソフトもグーグルも、どちらも同じようなセキュリティ認証と機構を保有しているので、
あとは組織のカルチャーやガバナンスにマッチするのはどれか?という観点が重要です。
創業したてな事業者様、企業文化が醸成される前に、早い段階での管理導入を本当にオススメします。
前回でも触れましたが、途中から管理するのは従業員の方々にも負担を強いることに!
とまぁ、2回にわたってお送りしましたが、少しは参考になったら幸いです。
え?藤波製作所のアレコレをリベロエンジニアで書いてOKなのかって?
そういうところもリベロエンジニアなんですよ。
カジュアル面談に応募してください。現場でお待ちしています。
